נחשפה גרסה עדכנית של תוכנת הכופר RAA התוקפת בעיקר יעדים עסקיים

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשפה גרסה עדכנית של תוכנת הכופר RAA התוקפת בעיקר יעדים עסקיים

נחשפה גרסה עדכנית של תוכנת הכופר RAA התוקפת בעיקר יעדים עסקיים

מאת: מערכת Telecom News, 20.9.16, 17:32כופר

הגרסה המעודכנת יכולה לבצע הצפנה ללא חיבור לאינטרנט והפעם ללא הצורך לבקש מפתח משרת הפיקוד. הקורבן גם מקבל את הסוס הטרויאני Pony.

 תוכנת הכופר RAA הופיעה בנוף האיומים ביוני 2016 והייתה תוכנת הכופר הראשונה, שנחשפה, שנכתבה כולה ב-JScript. באוגוסט 2016, מומחי מעבדת קספרסקי גילו גרסה חדשה, שבדומה לקודמת, מופצת דרך הדואר האלקטרוני, אך כעת הקוד הזדוני מוסתר בקובץ ZIP מצורף המוגן בסיסמא. הפושעים הטמיעו אמצעי זה כדי להונות פתרונות אנטי וירוס, מכיוון שקשה יותר לבחון את תוכן הקובץ המוגן.

המומחים הסיקו מניתוח הדואר האלקטרוני, שמפיצי הקוד ממוקדים בעסקים ולא במשתמש המצוי. זאת, מכיוון שההודעות הזדוניות מכילות מידע אודות חובות של ספקים. כדי שההודעות תיראנה אמינות יותר, השולחים ציינו, שהקובץ המצורף מוגן בסיסמא מסיבות אבטחה (הסיסמא לקובץ צורפה בתחתית ההודעה) ומוגן ע"י הצפנה א-סימטרית. הצהרה זו נשמעת מגוחכת באוזניי משתמשים מנוסים, אבל מצליחה להטעות קורבנות תמימים.

המשך תהליך ההדבקה נראה דומה לזה של גרסאות RAA קודמות. הקורבן מפעיל קובץ .js, שמתחיל את התהליך הזדוני. כדי להסיט את תשומת לב הקורבן, הסוס הטרויאני מציג מסמך טקסט מזויף המכיל מערך רנדומלי של אותיות. בעוד הקורבן מנסה להבין מה קורה, ברקע ה-RAA מצפין קבצים על המכשיר. בסופו של דבר, תוכנת הכופר יוצרת הודעת דרישה לדמי כופר על שולחן העבודה וכל הקבצים המוצפנים זוכים לסיומת .locked חדשה.

בהשוואה לגרסה הקודמת, ההבדל המרכזי הוא, שכעת ה-RAA לא צריך לתקשר עם שרת הפיקוד והשליטה כדי להצפין קבצים על מחשב הקורבן, כפי שנזקק בעבר.

במקום לבקש מפתח מאסטר משרת הפיקוד והשליטה, הסוס הטרויאני מייצר, מצפין ומאחסן אותו על המכשיר הנגוע. פושעי סייבר מחזיקים את המפתח הפרטי כדי לפצח את ההצפנה הייחודית של מפתח המאסטר. ברגע שהכופר משולם, הפושעים מבקשים מהמשתמש לשלוח להם את מפתח המאסטר המוצפן, שיוחזר אל הקורבן לצורך פתיחת ההצפנה יחד עם תוכנת פיענוח. ככל הנראה, דרך פעולה זו נבחרה כדי לאפשר לנוזקה להדביק מכשירים, שאינם מחוברים לרשת וגם כאלה שכן.  

יתרה מכך, יחד עם תוכנת הכופר RAA, הקורבן גם מקבל את הסוס הטרויאני Pony, שמסוגל לגנוב סיסמאות מכל שרתי הדואר, כולל שרתים ארגוניים, ולשלוח אותם לתוקף מרוחק. באמצעות סיסמאות אלו, הפושעים יכולים להפיץ את הנוזקה שלהם בשם המשתמשים שנפגעו, וכך קל להם יותר לשכנע את הקורבן הב, שההודע שהתקבל היא ממקור אמין. מהדואר האלקטרוני של הקורבן, הנוזקה יכולה להיות מופצת לרשימה המלאה של אנשי קשר עסקיים, ומשם, הפושעים יכולים לבחור אנשי קשר מעניינים ולבצע התקפות ממוקדות.

כיום, תוכנת הכופר RAA מופצת בעיקר בקרב משתמשים דוברי רוסית, על בסיס הודעת הכופר המופיעה בשפה זו. עם זאת, ייתכן שתוך זמן קצר המפיצים שלה יחליטו לעבור להפצה עולמית.

מספר עצות חיוניות, שתסייענה למזער את הסיכון להדבקה בעסק:
  • השתמשו בטכנולוגיות אבטחת נקודות קצה חזקות ובאנטי וירוס. ודאו, כשכל מאפייני ההגנה המסייעים לאיתור תקריות מופעלים.
  • הכשירו את עובדי החברה להיות בעלי מודעות והבנה בסייבר.
  • עדכנו בקביעות את התוכנות במכשירי החברה.
  • ערכו ביקורת אבטחה קבועה.
  • שימו לב לסיומות קבצים לפני פתיחתם. המסוכנות שבהן כוללות את: .exe, .hta, .wsf, .js ועוד.
  • השתמשו בהיגיון והיו ביקורתיים לגבי כל הודעות הדואר האלקטרוני המגיעות ממקור, שאינו מוכר.
עפ"י סקר סיכוני אבטחת מידע בארגונים לשנת 2016, 20% מהעסקים חוו התקפה של תוכנת כופר במהלך 12 החודשים האחרונים.

פדור סיניטסין, חוקר נוזקות בכיר במעבדת קספרסקי: "אנו מאמינים, שהסוס הטרויאני RAA נוצר כדי לבצע התקפות ממוקדות על עסקים. השילוב בין תוכנת כופר לבין גונב סיסמאות הוא שילוב מסוכן, שמגביר את הסיכויים של פושעי הסייבר להשגת כסף. ראשית, מהכופר, שהחברה תשלם כדי לשחרר את הקבצים, ושנית, מהקורבנות הפוטנציאליים החדשים, שניתן להתמקד בהם ע"י שימוש בהרשאות, שנאספו ע"י הסוס הטרויאני Pony. בנוסף לכך, עם האפשרות להצפנה לא מקוונת, הגרסה החדשה של ה-RAA הופכת למסוכנת יותר".
 
המסמך המזויף המושג לקורבן:
המסמך המזויף
 
 



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקיםתוכנות לפרטיים ותוכנות לעסקיםתוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

1/5/18 - ChipEx2018  

7/5/48 - BMR 2018 - Broadband, Mobile, RF  

9-10/5/18 - האקאתון "ניצוץ לדורות" 

15/5/18 - Israel's annual Programmatic Video conference  

15/5/18 - Bynet Expo 2018  

23/5/18 - EcoMotion Main Event 2018 

5/6/18 - Israel Mobile Summit 2018 

17-21/6/18 - Cyber Week 2018 

21/6/18 - 2018 Afeka Conference for Speech Processing  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם למרץ 2018 עפ"י Business Insider - כאן

תאגיד השידור - "עלינו". איך עשו עלינו סיבוב והשאירו את אגרת הטלוויזיה - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים לציבור - כאן

כל מה שלא מספרים לכם בנוגע לחקירת "פרשת בזק-YES" ולמה ביבי לא בעניין - כאן

סיכום ביקור בסיליקון ואלי - למה 3 הגדולות משקיעות ומפתחות באותם תחומים - כאן

מורה נבוכים בפרשת "תיק 4000" מי עוד צפוי להיחקר ומה עדיין לא נחקר - כאן

שלמה פילבר (עד לאחרונה מנכ"ל משרד התקשורת) - עד מדינה? הצחקתם אותי! - כאן

מרוב Fake News, ספינים ותרגילי חקירה, הציבור מקבל שפע של מידע מטעה - כאן

20 המובילים ומקבלי הצל"ש בשנת 2017 בעולם התקשורת והייטק הישראלי - כאן

"יש אפליה בחקירה"? חשיפה: למה השר משה כחלון לא נחקר עד היום? - כאן

חשיפת חשד לשחיתות הדומה לזו של "תיק 4000" אך בתחום הסלולר - כאן


 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
קפל
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Schneider Electric
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים